GitHub je najavio prelazak na obaveznu dvofaktorsku autentifikaciju za sve korisnike koji objavljuju kod na GitHub.com. U prvoj fazi, u martu 2023. godine, za određene grupe korisnika počeće se primjenjivati obavezna dvofaktorska autentifikacija, postepeno pokrivajući sve više novih kategorija.
Prije svega, promjena će uticati na programere koji objavljuju pakete, OAuth aplikacije i GitHub rukovaoce, izdavanja obrazaca, učestvuju u razvoju projekata kritičnih za npm, OpenSSF, PyPI i RubyGems ekosisteme, kao i one koji su uključeni u rad na četiri milion najpopularnijih spremišta. Do kraja 2023. GitHub namjerava u potpunosti onemogućiti svim korisnicima mogućnost da podnose promjene bez korištenja dvofaktorske autentifikacije. Kako se približava trenutak prelaska na dvofaktorsku autentifikaciju, korisnicima će biti poslana obavještenja putem e-pošte, a upozorenja će biti prikazana u interfejsu.
Novi zahtjev će povećati sigurnost procesa razvoja i zaštititi spremišta od zlonamjernih promjena zbog curenja vjerodajnica, korištenja iste lozinke na kompromitovanom web mjestu, hakovanja lokalnog sistema programera ili korištenja metoda društvenog inženjeringa. Prema GitHubu, dobijanje pristupa repozitorijumima od strane napadača kao rezultat otmice naloga je jedna od najopasnijih pretnji, jer se u slučaju uspešnog napada mogu izvršiti skrivene promene u popularnim proizvodima i bibliotekama koje se koriste kao zavisnosti.
Dodatno, možemo primijetiti početak pružanja svim korisnicima javnih spremišta na GitHubu besplatne usluge praćenja slučajnog objavljivanja povjerljivih podataka, kao što su ključevi za šifriranje, lozinke za DBMS i API pristupni tokeni. Ukupno je implementirano više od 200 šablona za identifikaciju različitih tipova ključeva, tokena, certifikata i vjerodajnica. Da biste izbjegli lažne pozitivne rezultate, provjeravaju se samo zajamčeni tipovi tokena. Do kraja januara, mogućnost će biti dostupna samo učesnicima u programu beta testiranja, nakon čega će svi moći da koriste uslugu.
izvor: opennet.ru